13 Segurança nas comunicações
13.2 Transferência de informação
Objetivo: Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas.
13.2.1 Políticas e procedimentos para transferência de informações Controle
Convém que políticas, procedimentos e controles de transferências formais, sejam estabelecidos para proteger a transferência de informações, por meio do uso de todos os tipos de recursos de comunicação.
Diretrizes para implementação
Convém que procedimentos e controles estabelecidos para a troca de informações em recursos eletrônicos de comunicação considerem os tópicos a seguir:
a) procedimentos para proteger a informação transferida contra interceptação, cópia, modificação, desvio e destruição;
b) procedimentos para detecção e proteção contra código malicioso que pode ser transmitido através do uso de recursos eletrônicos de comunicação (ver 12.2.1);
c) procedimentos para proteção de informações eletrônicas sensíveis que sejam transmitidas na forma de anexos;
d) política ou diretrizes que especifiquem o uso aceitável dos recursos eletrônicos de comunicação (ver 8.1.3);
e) que as responsabilidades de funcionários, fornecedores e partes externas possam comprometer a organização através de, por exemplo, difamação, assédio, falsa identidade, retransmissão de "correntes", compras não autorizadas etc.;
f) uso de técnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade e a autenticidade das informações (ver 10);
g) diretrizes de retenção e descarte para toda a correspondência de negócios, incluindo mensagens, de acordo com regulamentações e legislação locais e nacionais, relevantes.
h) controles e restrições associados à retransmissão em recursos de comunicação como, por exemplo, a retransmissão automática de mensagens eletrônicas (e-mails) para endereços externos;
i) orientar as pessoas para adotar precauções apropriadas não revelando informações confidenciais; j) não deixar informações críticas ou sensíveis em secretárias eletrônicas uma vez que elas podem
ser acessadas por pessoas não autorizadas, armazenadas em sistemas comuns ou armazenadas de forma incorreta, por engano;
k) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, como: 1) acesso não autorizado a dispositivos para recuperação de mensagens;
2) programação de aparelhos, de forma deliberada ou acidental, para enviar mensagens para números específicos determinados;
3) envio de documentos e mensagens para número errado, seja por falha na discagem ou uso de número armazenado errado.
Adicionalmente, convém que as pessoas sejam lembradas de que não devem manter conversas confidenciais em locais públicos, escritórios abertos, canais de comunicação inseguros e locais de reunião.
Convém que os serviços de transferência de informações estejam de acordo com os requisitos legais pertinentes (ver 18.1).
Informações adicionais
A transferência de informações pode ocorrer através do uso de vários tipos diferentes de recursos de comunicação, incluindo mensagens eletrônicas (e-mails), voz, fax e vídeo.
A transferência de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da internet e a aquisição junto a fornecedores que vendem produtos em série.
Convém que sejam considerados os controles para os requisitos e as possíveis implicações nos negócios, nos aspectos legais e na segurança, relacionadas com a troca eletrônica de dados, com o comércio eletrônico e com o correio eletrônico.
13.2.2 Acordos para transferência de informações Controle
Convém que sejam estabelecidos acordos para transferência segura de informações do negócio entre a organização e partes externas.
Diretrizes para implementação
Convém que os acordos de transferência de informações incorporem as seguintes condições:
b) procedimentos para assegurar a rastreabilidade dos eventos e o não-repúdio. c) padrões técnicos mínimos para embalagem e transmissão;
d) acordos para procedimentos de custódia; e) normas para identificação de portadores;
f) responsabilidades e obrigações na ocorrência de incidentes de segurança da informação, como perda de dados.
g) utilização de um sistema acordado de identificação para informações críticas e sensíveis, garantindo que o significado dos rótulos seja imediatamente entendido e que a informação esteja devidamente protegida (ver 8.2).
h) normas técnicas para a gravação e leitura de informações e softwares;
i) quaisquer controles especiais que possam ser necessários para proteção de itens sensíveis, tais como chaves criptográficas (ver 10);
j) manutenção de uma cadeia de custódia enquanto a informação encontra-se em trânsito; k) níveis aceitáveis de controle de acesso.
Convém que políticas, procedimentos e normas para proteger as informações e as mídias em trânsito (ver 8.3.3) sejam estabelecidos e mantidos, além de serem referenciados nos mencionados acordos para transferência de informações.
É recomendado que os aspectos de segurança da informação contidos nos acordos reflitam a sensibilidade das informações envolvidas no negócio.
Informações adicionais
Os acordos podem ser eletrônicos ou manuais, e podem estar no formato de contratos formais. Para informações sensíveis, convém que os mecanismos específicos, usados para a transferência de tais informações, sejam consistentes com todas as organizações e tipos de acordos.
13.2.3 Mensagens eletrônicas Controle
Convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas.
Diretrizes para implementação
Convém que as considerações de segurança da informação sobre as mensagens eletrônicas incluam o seguinte:
a) proteção das mensagens contra acesso não autorizado, modificação ou negação de serviço, combinado com o esquema de classificação adotado pela organização;
b) assegurar que o endereçamento e o transporte da mensagem estejam corretos; c) confiabilidade e disponibilidade do serviço;
d) aspectos legais, como, por exemplo, requisitos de assinaturas eletrônicas;
e) aprovação prévia para o uso de serviços públicos externos tais como sistemas de mensagens instantâneas, redes sociais e compartilhamento de arquivos;
f) níveis mais altos de autenticação para controlar o acesso a partir de redes públicas. Informações adicionais
Existem muitos tipos de mensagem eletrônica, como, e-mails, Eletronic Data Interchange (EDI), e redes sociais que cumprem um papel importante nas comunicações do negócio.
13.2.4 Acordos de confidencialidade e não divulgação Controle
Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados, analisados criticamente e documentados.
Diretrizes para implementação
Convém que os acordos de confidencialidade e de não divulgação considerem os requisitos para proteger as informações confidenciais, usando termos que são obrigados do ponto de vista legal. Acordos de confidencialidade ou não divulgação são aplicaveis as partes externas ou aos funcionários da organização.
Convém que os elementos sejam selecionados ou acrescentados considerando-se o tipo do acesso permitido para a outra parte, ou para o tratamento da informação confidencial. Para identificar os requisitos para os acordos de confidencialidade ou de não divulgação, convém que os seguintes elementos sejam considerados:
a) uma definição da informação a ser protegida (por exemplo, informação confidencial);
b) o tempo de duração esperado de um acordo, incluindo situações onde a confidencialidade tenha que ser mantida indefinidamente;
c) ações requeridas quando um acordo está encerrado;
d) responsabilidades e ações dos signatários para evitar a divulgação não autorizada da informação; e) o proprietário da informação, segredos comerciais e de propriedade intelectual, e como isto se
relaciona com a proteção da informação confidencial;
f) o uso permitido da informação confidencial, e os direitos do signatário para usar a informação; g) o direito de auditar e monitorar as atividades que envolvem as informações confidenciais;
h) o processo para notificação e relato de divulgação não autorizada ou vazamento das informações confidenciais;
i) termos para a informação ser retornada ou destruída quando do término do acordo; j) ações esperadas a serem tomadas no caso de uma violação deste acordo.
Baseado nos requisitos de segurança da informação da organização, outros elementos podem ser necessários em um acordo de confidencialidade ou de não divulgação.
Convém que os acordos de confidencialidade e de não divulgação estejam em conformidade com todas as leis e regulamentações aplicáveis na jurisdição para a qual eles se aplicam (ver 18.1).
Convém que os requisitos para os acordos de confidencialidade e de não divulgação, sejam analisados criticamente de forma periódica e quando mudanças ocorrerem que influenciem estes requisitos.
Informações adicionais
Acordos de confidencialidade e de não divulgação protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada.
Pode haver uma necessidade de uma organização usar diferentes formas de acordos de confidencialidade ou de não divulgação, em diferentes circunstâncias.